Aktualności

Omnistealer wykorzystuje technologię blockchain, by wykraść wszystko, co tylko się da

autor: Pieter Arntz | 14 kwietnia 2026 r.
kradzież wszystkiego

Nowy program wykradający dane, nazwany Omnistealer, zamienia łańcuch bloków w stałą platformę do hostowania złośliwego oprogramowania, co stanowi złą wiadomość zarówno dla firm, jak i zwykłych użytkowników.

Często zdarza się, że złośliwe oprogramowanie przechowuje swój ładunek na platformach publicznych, najlepiej takich, które budzą zaufanie jako źródło pobierania, np. Google Docs, OneDrive, GitHub, npm, PyPI i tym podobne.

Problem dla twórców złośliwego oprogramowania polega na tym, że można je usunąć. Czasami zajmuje to trochę czasu i wymaga sporo wysiłku, ale jest to możliwe. Omnistealer omija tę przeszkodę, przechowując swój kod przejściowy w transakcjach na publicznych łańcuchach bloków, takich jak TRON, Aptos i Binance Smart Chain.

Niektóre transakcje w łańcuchu bloków pozwalają na dołączanie niewielkich fragmentów dowolnych danych (notatek, metadanych, danych wejściowych do inteligentnych kontraktów), a zamiast nieszkodliwych treści atakujący umieszczają:

  • Tekst zaszyfrowany
  • Zakodowane polecenia
  • Fragmenty kodu złośliwego oprogramowania

A ponieważ łańcuchy bloków działają na zasadzie „tylko dodawania”, tych złośliwych fragmentów kodu nie da się skutecznie usunąć, gdy tylko zostaną one wkomponowane w blok. Można cofnąć rejestrację domen i usunąć repozytoria z GitHub, ale nie da się cofnąć transakcji w sieciach TRON czy BSC tylko po to, by usunąć kilkaset bajtów kodu przygotowującego złośliwe oprogramowanie.

Dzięki temu publiczne rejestry stają się odporną na awarie i cenzurę infrastrukturą dowodzenia i kontroli, której obrońcy nie są w stanie po prostu zlikwidować.

Pomimo oczywistego związku z kryptowalutami, Omnistealer nie skupia się wyłącznie na okradaniu inwestorów kryptowalutowych. Gdy Omnistealer dostanie się do systemu, atakuje:

  • Ponad 10 menedżerów haseł, w tym narzędzia dla użytkowników indywidualnych z synchronizacją w chmurze, takie jak LastPass.
  • Główne przeglądarki, takie jak Chrome Firefox, zbierają zapisane dane logowania i dane sesji.
  • Konta w chmurze, w tym dane logowania do Dysku Google.
  • Ponad 60 portfeli kryptowalutowych działających w przeglądarce, w tym popularne rozszerzenia, takie jak MetaMask i Coinbase Wallet.

 Zostało zaprojektowane jako kompleksowe narzędzie do gromadzenia danych, które – jak twierdzą śledczy – „dosłownie wykradnie wszystko”.

Atak zazwyczaj rozpoczyna się od „prostego” zlecenia programistycznego: wykonawca otrzymuje ofertę LinkedIn Upwork, pobiera repozytorium z GitHubu i uruchamia kod, który wygląda jak zwykły kod projektowy. W tle kod ten łączy się z łańcuchem bloków, odczytuje dane transakcji i wykorzystuje je jako wskaźnik do pobrania i odszyfrowania ostatecznego ładunku.

Naukowcy szacują, że doszło już do wycieku około 300 000 danych logowania, obejmujących szeroki zakres podmiotów – od platform z branży dla dorosłych i serwisów dostarczających jedzenie po firmy zajmujące się zgodnością finansową, dostawców dla sektora obronnego oraz agencje rządowe Stanów Zjednoczonych. 

Co możesz zrobić 

Nie da się usunąć złośliwego oprogramowania z łańcucha bloków, ale można znacznie utrudnić tego typu atakom wyrządzenie szkody. Po pierwsze, ogranicz ilość danych, które można ukraść. Następnie lepiej zabezpiecz swoje dane.

  • Zasadniczo traktuj „pracę marzeń” i nieproszone oferty współpracy z rezerwą, zwłaszcza jeśli rozmówcy szybko przenoszą się na czaty poza platformą (Telegram, Discord) lub proszą cię o uruchomienie kodu z prywatnego repozytorium.
  • Zabezpiecz swoje hasła za pomocą sprawdzonego menedżera haseł i włącz uwierzytelnianie wieloskładnikowe (wybierając aplikację lub klucz zamiast SMS-ów) dla wszystkich ważnych lub wrażliwych kont.
  • Korzystaj z aktualnego oprogramowania antywirusowego działającego w czasie rzeczywistym, aby blokować, wykrywać i usuwać zagrożenia, takie jak Omnistealer.
  • Nie wykorzystuj swojego codziennego profilu użytkownika ani głównej stacji roboczej jako środowiska testowego dla przypadkowych projektów na GitHubie lub dodatkowych zleceń. Zamiast tego skorzystaj z maszyny wirtualnej lub oddzielnego systemu.
  • Sprawdzaj swoje konta kryptowalutowe i bankowe pod kątem niewyjaśnionych logowań lub wypłat, a w razie podejrzeń o włamanie przenieś środki na nowe portfele.

Spójrzmy prawdzie w oczy – okno incognito ma swoje ograniczenia.

Naruszenia bezpieczeństwa, handel na dark webie, oszustwa kredytowe. Theft Malwarebytes Identity Theft monitoruje wszystkie te zagrożenia, szybko Cię o nich powiadamia i obejmuje ubezpieczenie od kradzieży tożsamości. 

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Aktualności
Logo JDownloader

Hakerzy zastąpili pliki instalacyjne programu JDownloader złośliwym oprogramowaniem

May 15, 2026

Strona internetowa JDownloader została zhakowana, a linki do pobrania instalatora przez kilka dni zawierały złośliwe oprogramowanie.

AI
Instagram między WhatsApp a Instagram

Nowe, budzące wątpliwości podejście firmy Meta do prywatności w czatach

May 15, 2026

WhatsApp oferuje teraz znikające wiadomości wysyłane przez sztuczną inteligencję, których, jak twierdzi Meta, nie jest w stanie odczytać. Tymczasem Instagram usunął funkcję, która uniemożliwiała firmie Meta odczytywanie Twoich wiadomości.

Ochrona prywatności
Logo Yahoo Mail

Dlaczego Malwarebytes niektóre przekierowania w serwisie Yahoo Mail

May 14, 2026

Niektórzy użytkownicy Yahoo Mail mogą otrzymywać powtarzające się Malwarebytes spowodowane połączeniami w tle z podejrzanymi domenami stron trzecich. Oto dlaczego.

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa